вкр. Создание локальной
 Скачать 0.59 Mb.
|
 На этапе проектирования новой локальной сети выяснилось что есть свободное помещение на втором этаже здания для размещения там серверной. Не менее важным в проектировании локальной сети является и выбор кабельной подсистемы, так как надежная локальная сеть предусматривает надежные соединения. Все коммутации в сети должны быть выполнены качественно, по стандарту, без нарушения технологии. Ответом на высокие требования к качеству кабельной системы стали структурированные кабельные системы, представляющие собой набор коммутационных элементов, а также методика их совместного использования, которая позволяет создавать регулярные, легко расширяемые структуры связей в вычислительных сетях. Структурированная кабельная система строится иерархически, с главной магистралью и многочисленными ответвлениями от нее. Типичная иерархическая структура структурированной кабельной системы включает: горизонтальные подсистемы (в пределах этажа); вертикальные подсистемы (внутри здания); подсистему кампуса (в пределах одной территории с несколькими зданиями). Использование структурированной кабельной системы вместо хаотически проложенных кабелей дает предприятию много преимуществ: универсальность; увеличение срока службы; уменьшение стоимости добавления новых пользователей и изменения их мест размещения; возможность легкого расширения сети; обеспечение более эффективного обслуживания; надежность. Горизонтальная подсистема характеризуется большим количеством ответвлений кабеля, так как его нужно провести к каждой пользовательской 3 9  розетке. Поэтому к кабелю, используемому в горизонтальной проводке, предъявляются повышенные требования к удобству выполнения ответвлений, а так же удобству его прокладки в помещениях. При выборе кабеля принимаются во внимание следующие характеристики: полоса пропускания, расстояние, физическая защищенность, электромагнитная помехозащищенность, стоимость. Горизонтальную подсистему, то есть этажную, можно разделить на три части: абонентская часть состоит из розеток RJ-45, соединенных патч- кордом; стационарная часть представляет собой патч-корд, который соединяет розетки со шкафчиком с сетевым оборудованием; коммутационная часть-это патч-корд между коммутатором и розетками на патч-панели. Вертикальная подсистема, кабель, который соединяет этажи здания, должен передавать данные на большие расстояния и с большей скоростью по сравнению с кабелем горизонтальной подсистемы. Она состоит из более протяженных отрезков кабеля, количество ответвлений намного меньше, чем в горизонтальной подсистеме. Работы начались со смены провайдера и проведения в серверную оптоволоконного кабеля. На складе организации выдали два компьютера для использования в качестве серверов. На первом было установлено программное обеспечение ИКС-сервер версии 5.1, этот сервер подключен к медиаконвертору с оптоволоконным кабелем и стал выполнять функции интернет шлюза. Интернет-шлюз представляет собой аппаратно-программный комплекс для организации доступа сети Интернет из локальной сети организации. На втором установлено Windows Server 2008 и настроено файловое хранилище для администрации школы. В качестве топологии локальной сети была выбрана «Звезда», основной узел доступа был организован в серверной, к шлюзу был подключен не настраиваемый 24-х портовый коммутатор. От него проложены отдельные 4 0  провода в оба крыла здания и на каждый этаж. Количество последовательно соединенных коммутаторов на каждом сегменте сети не превышает четырех. Рис 2. Предложенный вариант локальной сети Настройкашлюза В соответствии с требованиями федеральных законов 139-ФЗ и 436-ФЗ установлены строгие требования по защите детей от информации, которая может нанести вред их развитию. В обязанности школы входит обеспечение защиты внутришкольной сети от нежелательного контента. Контентная фильтрация от провайдера зачастую не обеспечивает действительно эффективной защиты, что может приводить к проблемам при проверках образовательного учреждения контролирующими органами. Оптимальным решением для обеспечения контентной фильтрации школ является установка программного контент фильтра. При выборе оптимального решения, совместно с администрацией школы, выбрали ИКС-сервер ввиду следующих преимуществ : наличие профиля, специально разработанного для учебных заведений в соответствии 436-ФЗ РФ; готовый набор правил для школ; 4 1  автоматическая контент-фильтрация по спискам Минюста и Роскомнадзора; контентная фильтрация в соответствии с ФЗ №139; возможность задания запрещающих и разрешающих правил системным администратором; подробные отчеты по использованию интернета школьниками (возможны варианты отчетов по конкретному пользователю, по посещенным сайтам, по объему трафика и прочее). мониторинг работы с уведомлениями. После инсталирования системы ИКС-сервер необходимо настроить сетевые интервейсы внешней и внутреней сетей, для этого перейти во вкладку провайдеры и ввести настройки. Рис 3. Окно авторизации Настройка прав доступа и привязка IP адрессов пользователей происходит через оснастку пользователи, здесь собраны правила доступа и контентной фильтрации для каждого отдельного пользователя, присутствует возможность включения и отключения правил к ресурсам и типам данных, в том числе и по времени. 4 2   Рис 4. Экран пользователя Пользователей можно группировать как IP -адресам, так и по группам правил, назначая политики доступа и правила фильтрации для целых групп пользователей. Рис. 5 Пользователи сети На сервере применяются следующие способы авторизации пользователей: 4 3 1 ) авторизация по логину и паролю в модуле «Прокси-сервер» Изделия. Для того, чтобы пользователь мог подключиться к прокси-серверу, необходимо, чтобы в его веб- браузере был указан ip-адрес внутреннего интерфейса Изделия («Локальная сеть») и порт 3128 (по умолчанию, данный порт может быть изменен в настройках модуля «Прокси-сервер»). Сама авторизация может осуществляться двумя методами: по логину и паролю пользователя (пользователь, сделавший HTTP-запрос, получает первоначально приглашение на ввод своего логина и пароля доступа, а после успешной идентификации – результат запроса) и через домен (пользователь, зарегистрированный на сервере Active Directory, автоматически авторизуется на прокси-сервере). Второй метод возможен лишь в том случае, когда программа присоединена к домену Active Directory. Следует отметить, что в обоих случаях пользователю будет доступен выход во внешнюю сеть только по протоколу HTTP. Внимание! При этой схеме авторизации у пользователя не будет работать ICQ, почта, клиент-банк и другие программы которые работают не по протоколу HTTP. 2 ) авторизация по ip-адресу. Применяется в том случае, когда пользователи локальной сети имеют статические ip-адреса либо динамические ip-адреса, регистрируемые с привязкой к mac-адресу. Для того, чтобы пользователь мог получить доступ во внешнюю сеть, достаточно добавить его ip-адрес во вкладке «Ip-адреса» индивидуального модуля пользователя. Пользователь получает доступ во внешнюю сеть по всем протоколам в соответствии с глобальными и индивидуальными политиками доступа. Ip-адрес довольно легко подделать. Злонамеренный пользователь может выдать себя за другого, просто поменяв сетевые настройки на своём компьютере. Для того, чтобы это предотвратить, воспользуйтесь функцией привязки к MAC-адресу. 3 ) авторизация посредством клиентской части Изделия xauth.exe. Применяется в том случае, когда пользователи сети имеют динамические переменные ip-адреса. Как и при авторизации по ip-адресу, пользователь получает полный доступ во внешнюю сеть при данном типе авторизации. Для 4 4 того, чтобы выполнить авторизацию, пользователю необходимо на своем компьютере запустить файл xauth.exe (применимо только для Windows-систем). Далее возможны два метода подключения: простая авторизация (пользователь получает приглашение на ввод своего логина и пароля) и авторизация через домен (пользователь, зарегистрированный на сервере Active Directory, автоматически авторизуется в программе). Второй метод возможен лишь в том случае, когда программа присоединена к домену Active Directory. 4 ) авторизация по MAC. Данный вид авторизации удобен, когда в сети используются динамические адреса, но в качестве DHCP-сервера выступает не ИКС. Для того, чтобы добавить пользователю mac-адрес, перейдите во вкладку IP-адреса и нажмите Добавить - MAC-адрес. 5 ) авторизация пользователей терминального сервера Для ИКС все пользователи, работающие через терминальный сервер неотличимы друг от друга по своим запросам в сети (в качестве источника выступает один и тот же ip-адрес терминального сервера). Таким образом, для того чтобы разделить статистику и настройки доступа, вам необходимо указать прокси-сервер в настройках браузера каждого из терминальных пользователей. Тогда каждый пользователь будет зарегистрирован под своим логином, и запросы, проходящие через прокси будут идентифицироваться отдельно для каждого из пользователей терминала. Импорт пользователей возможен в четырех вариантах: из файла (источником служит файл формата TXT, в котором перечислены строки, содержащие параметры имя, логин, пароль, ipадрес), из домена (импортирует пользователей Active Directory, для того, чтобы данный импорт был возможен, необходимо присоединить программу к домену через модуль «Сетевое окружение»), из сети (сканирует каждую локальную сеть на предмет доступных ip-адресов из адресного пространства сети), из LDAP/AD (аналогичен импорту из домена, однако не требует постоянного присоединения к нему). 4 5  Чтобы импортировать пользователей, зайдите в модуль «Пользователи» и нажмите в правом верхнем углу на кнопку «Импорт». Откроется диалоговое окно, предлагающее выбрать, каким образом пользователи будут импортированы. Фильтрация нежелательного контента собрана в двух вкладках – первая наборы правил. Для создания правила необходимо выбрать группу пользователей и создать правило: разрешающие либо запрещающие. В данной работе были созданы правила для ограничения доступа к социальным сетям, онлайн казино, настроено перенаправление запросов поисковых систем на «семейные» поисковые страницы, содержания страниц сканируется контент- фильтром. Рис 6. Выбор фильтра Во вкладке "Правила и ограничения" пользователя или группы вы можете назначить следующие ограничения для пользователей: запрещающие, разрешающие правила – 1 . и исключения контролируют доступ пользователя к ip-адресам, протоколам, mime-типам и портам на уровне межсетевого экрана. Среди прочего, они позволяют заблокировать два протокола прикладного уровня при помощи layer7- фильтрации – это протоколы OSCAR (ICQ) и P2P (torrent). 4 6 2 . запрещающие, разрешающие правила и исключения прокси – контролируют доступ пользователя к интернет-ресурсам по URL на уровне прокси-сервера; 3 . ограничение скорости – изменяет скорость доступа к указанным ресурсам или к внешней или внутренней сети в целом; выделение полосы пропускания – устанавливает минимальное 4 . значение скорости доступа к указанным ресурсам или к внешней или внутренней сети в целом; 5 . квота – устанавливает максимальное значение полученного пользователем объема данных от указанного ресурса, по указанному протоколу (порту) или от внешней или внутренней сети в целом; 6 . маршрут – устанавливает для пользователя индивидуальное направление потока передачи данных до указанного ресурса, по указанному протоколу (порту) или до внешней или внутренней сети в целом; 7 . приоритет – присутствует только в глобальных правилах межсетевого экрана, позволяет установить очередность обработки потока передачи данных до указанного ресурса, по указанному протоколу (порту) или до внешней или внутренней сети в целом. 8 . контроль DLP - добавляет правило, которое будет сканировать трафик пользователя в соответствии с настроенной базой отпечатков DLP. правило контентной фильтрации - добавляет правило прокси, 9 . которое проверяет загружаемый html-код на совпадения с базой данных контент-фильтра. 1 0. ограничение количества соединений – создает правило межсетевого экрана, не позволяющее пользователю превышать указанное количество одновременных соединений к указанным ресурсам, протоколам и портам. Вторая вкладка для ограничения нежелательной информации это контент фильтр. Он позволяет просканировать весь пакет данных на наличие слов внесенных в базу контент-фильтра и при большом количестве совпадений заблокировать доступ к запрашиваемому ресурсу, а пользователю вывести 4 7  сообщение о причинах блокировка контента. Рис. 7 Контент-фильтр Создание новых списков возможно на вкладке «База Контент-фильтра», через которую осуществляется настройка и регулировка списков слов и ключевых фраз для срабатывая фильтра, для редактирования списка необходимо выбрать его и в выпадающем меню выбрать один из пунктов: «Редактировать», «Выключить», «Удалить». Для добавления ключевых слов к списку нужно выбрать пункт редактировать, откроется вкладка ввода ключевых слов, где слова можно добавлять, изменять или удалять. Пункт «Выключить» позволяет отключить выбранный список слов, от базы контент фильтра, и он не будет принимать участие в обработке входящей информации. 4 8  Рис. Редактирование контент-фильтра. 4 9 |